Augmenter les droits VMware Engine

Les privilèges Google Cloud VMware Engine permettent aux utilisateurs de vCenter d'effectuer des opérations courantes. Certaines fonctions d'administration nécessitent des autorisations supplémentaires dans le cloud privé vCenter.

Google Cloud VMware Engine est désormais intégré à la console Google Cloud, mais cette intégration ne fournit pas la fonctionnalité Élever les droits d'accès. Pour effectuer ces tâches, vous pouvez utiliser un compte utilisateur de solution pour:

  • Configurer les sources d'identité
  • Gérer les utilisateurs
  • Supprimer un groupe de ports distribués
  • Créer des comptes de service

Vous pouvez utiliser l'un des ID utilisateur de solution intégrée suivants:

  • solution-user-01@gve.local
  • solution-user-02@gve.local
  • solution-user-03@gve.local
  • solution-user-04@gve.local
  • solution-user-05@gve.local

Obtenir un mot de passe utilisateur pour la solution

Pour obtenir un mot de passe utilisateur pour la solution, procédez comme suit:

API

Dans l'API REST, envoyez une requête GET à la méthode showCredentials. fournissez l'ID utilisateur de la solution:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateClouds/PRIVATE_CLOUD:showVcenterCredentials?username=USERNAME_ID

Remplacez les éléments suivants :

  • PROJECT_ID: projet concerné par la requête.
  • REGION : région du cloud privé.
  • USERNAME_ID: l'un des ID utilisateur de solution décrits. précédemment.

Réinitialiser le mot de passe de l'utilisateur de la solution

Pour réinitialiser le mot de passe d'un utilisateur de la solution, procédez comme suit:

gcloud

gcloud vmware private-clouds vcenter credentials reset \
--private-cloud=PRIVATE_CLOUD \
--project=PROJECT_ID \
--username=SOLUTION_USER_ID \
--location=REGION

API

Dans l'API REST, envoyez une requête POST à la méthode showCredentials. indiquez l'ID utilisateur de la solution dans le corps de la requête:

https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateClouds/PRIVATE_CLOUD:resetVcenterCredentials

{
"username": :"USERNAME_ID"
}

Remplacez les éléments suivants :

  • PROJECT_ID: projet concerné par la requête.
  • REGION : région du cloud privé.
  • USERNAME_ID: l'un des ID utilisateur de solution décrits. précédemment.

Actions interdites

Lorsque le logiciel VMware Engine détecte l'une des actions interdites suivantes, il annule les modifications pour garantir la continuité du service.

Actions sur les clusters

Les actions de cluster suivantes sont interdites :

  • Supprimer un cluster de vCenter
  • Modifier la haute disponibilité de vSphere sur un cluster
  • Ajouter un hôte au cluster à partir de vCenter
  • Supprimer un hôte du cluster à partir de vCenter
  • Changer vSphere Distributed Resource Scheduler (DRS) sur un cluster.

Actions pouvant être effectuées par l'hôte

Les actions d'hôte suivantes sont interdites :

  • Ajouter ou supprimer des datastores sur un hôte ESXi
  • Désinstaller l'agent vCenter de l'hôte
  • Modifier la configuration de l'hôte
  • Apporter des modifications aux profils hôtes
  • Placer un hôte en mode de maintenance

Actions sur le réseau

Les actions réseau suivantes sont interdites dans le serveur vCenter :

  • Supprimer le commutateur virtuel distribué par défaut dans un cloud privé
  • Supprimer un hôte du commutateur virtuel distribué par défaut
  • Importer un paramètre DVS
  • Reconfigurer un paramètre DVS
  • Mettre à niveau un DVS
  • Supprimer le groupe de ports de gestion
  • Modifier le groupe de ports de gestion

Les actions réseau suivantes sont interdites dans le gestionnaire NSX-T :

  • Ajouter un nœud NSX-T Edge
  • Modifier un nœud NSX-T Edge existant

Rôles et actions soumises à autorisations

Les actions suivantes associées aux rôles et aux autorisations sont interdites :

  • Modifier ou supprimer l'autorisation d'accès à un objet de gestion
  • Modifier ou supprimer les rôles par défaut
  • Élever les privilèges d'un rôle au-delà du rôle de propriétaire de cloud
  • Ajouter des utilisateurs et des groupes au groupe Administrateur sur vCenter
  • Ajouter des utilisateurs et des groupes Active Directory au groupe "Administrator" (Administrateur) de vCenter.

Autres actions

Les actions suivantes sont également interdites :

  • Supprimer les licences par défaut :
    • Serveur vCenter
    • Nœuds ESXi
    • NSX-T
    • HCX
  • Modifier ou supprimer le pool de ressources de gestion
  • Cloner des VM de gestion
  • Attribuer un réseau de gestion à une VM de charge de travail
  • Utiliser une adresse IP figurant dans la plage d'adresses IP internes de gestion pour une charge de travail VM.
  • Modification du nom du centre de données.
  • Renommer le cluster
  • Configurer le transfert syslog à l'aide de l'interface de gestion du serveur vCenter (VAMI)
  • Configurer le transfert syslog sur les hôtes ESXi directement à l'aide de l'interface utilisateur de vCenter Pour ce faire, ouvrez une demande d'assistance.
  • Associer votre cloud privé vCenter à un domaine Active Directory
  • Réinitialiser les identifiants de connexion vCenter ou NSX-T à l'aide d'outils VMware, d'appels d'API ou de dispositifs de gestion (vCenter/NSX Manager). En tant que vous pouvez récupérer ou réinitialiser les identifiants générés, y compris les mises à jour de mots de passe, depuis la page d'informations du cloud privé dans le portail VMware Engine.
  • Modification des intervalles de collecte de statistiques ou des niveaux de statistiques dans le client vSphere.

Étape suivante